Active Directory

Подписаться на эту рубрику по RSS

Если пользователь вошёл в систему на рабочей станции с операционной системой Windows после выполнения работ по включению рабочей станции в домен Active Directory и его рабочий стол, папка с документами и настройки пропали, то это значит, что вместо старого профиля пользователя создался новый. Ведь даже если пользователь локальный и доменный имеют одинаковые имена, это совершенно разные пользователи и поэтому система справедливо создаёт для доменного пользователя новый профиль. Восстановить настройки рабочего стола пользователя и документы можно, указав путь к старому профилю в системном реестре.

Далее...

Появилась задача по массовой установке программы на все компьютеры. Для этого было решено использовать стандартные возможности Active Directory и групповую политику. Настройка политики в части установки программного обеспечения не дала результата для Windows XP, поэтому пришлось решать возникшую проблему.

Далее...

Порядок подключения к Active Directory.

Если вкратце описать процесс, то:

  1. Компьютер:
    • получает IP-адрес по DHCP или имеет статический
    • определяет сайт и контроллер домена
    • ( _ldap._tcp.dc._msdcs.DnsDomanName и _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.DnsDomanName)

    • установка защищённого канала с контроллером домена
    • аутентификация Керберос и создание защищённого канала
    • получение списка DFS-ссылок
    • трансляция имени в идентификатор (сопоставление имён)
    • запрос данных о LDAP RootDSE
    • поиск групповой политики
    • загрузка политики по SMB
    • автоматическая подача заявки на клиентский сертификат
    • синхронизация времени
    • динамическое обновление имени в DNS
    • завершение процесса подключения

  2. Пользователь:
    • запрос и получение ключей Керберос, установка сессии
    • загрузка политики
    • завершение процесса подключения

В связи с заменой главного доменного сервера пришлось сменить корневой центр сертификации. Перед понижением старого главного контроллера домена до роли рядового сервера система потребовала удалить с него центр сертификации, что и было сделано. Сертификатом этого корневого центра был подписан сертификат центра сертификации для дочернего домена. После удаления корневого центра перестали приниматься и сертификаты, выданные пользователям вторым центром сертификации. Не работали USB-ключи eToken для входа в Windows. После установки на новом главном контроллере домена корневого центра сертификации была предпринята попытка получить новый сертификат для центра сертификации дочернего домена. Она была неудачной, видимо по причине того, что запрос сертификата выполнял не администратор предприятия, администратор дочернего домена. После выполнения запроса сертификата администратором предприятия, он был получен, однако сертификаты, полученные пользователями не воспринимались.

Далее...

\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

(Находится на системном томе в каталоге домена: \\server\sysvol\domen\...)

Изменение файла вручную может исправить некоторые странные ошибки, связанные с безопасностью контроллера домена.

На Windows 2000:

secedit /refreshpolicy machine_policy /enforce

На Windows Server 2003 и Windows XP:

gpupdate /force

На контроллере домена появилась проблема:

Event ID: 1058
Source Userenv
Type Error
Description Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=<domain name>,DC=com. The file must be present at the location < \\<domain name>\sysvol\</domain><domain name>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (<error description>.). Group Policy processing aborted. </error></domain>
Далее...

XZ